#每日三件事,第737天#
测评准备活动和方案编制活动结束后,就来到现场测评这个重要环节了。现场测评的主要依据就是测评方案和《网络安全等级保护基本要求》(GB/T22239-2019)。这时候已经确定了测评对象和测评指标,也编制了测评指导书,现在就改对每一个测评对象对照测评指标进行检测了。
测评的方法分为三种,分别是访谈、核查和测试。访谈是测评人员通过引导等保对象相关人员进行有目的的、有针对性的交流以帮助测评人员理解、澄清或取得证据的过程。核查是测评人员通过对测评对象(设备配置策略、制度文档、过程文档等)进行观察、查验和分析,以帮助测评人员理解、澄清或取得证据的过程。测试是测评人员用预定的方法/工具使测评对象(各类设备)阐述特定的结果,将运行结果与预期的结果进行比较的过程。
在测评过程中,可能用到访谈、核查和测试三种测评方法,也可能用到其中一种或两种。当然,仅仅通过访谈这一种测评方法肯定是不行的,因为获取的证据不足以让第三方对测评过程的科学性、合理性和公正性做出评价。
好了,说了那么多,究竟怎么对一个定级对象根据相应的指标进行测评呢?今天就以三级的安全物理环境的指标为例,来说一下到底怎么测评。
在安全物理环境中有物理位置选择的测评指标为“a)机房场地应选择在具有防震、防风和防雨等能力的建筑内”。正常情况下我们看到的机房只要不在危楼中,防震等级在土建设计中就已经确定。这里也没有严格要求要达到的防震等级;防风和防雨想都不用想,肯定没问题。但实际测评时,真的不能靠测评时的想象。必须要通过三种测评方法获得可靠的证据。防震,得看机房所在建筑物抗震设防审批文档;防风,得看门窗是否密封到尘土无法进入;防雨,得看门窗、屋顶、墙体、地面是否存在破损开裂;防雨,还得看机房是否存在雨水渗漏的情况。只有这四点都满足要求了,才能说明机房的场地选择符合标准的要求。否则就是不符合或者部分符合。那么对于拿不来建筑物抗震设防审批文档的情况,怎么办呢?建筑物的竣工验收文档,也是可以作为辅助证据的。《房屋建筑工程抗震设防管理规定》要求“新建、扩建、改建的房屋建筑工程,应当按照国家有关规定和工程建设强制性标准进行抗震设防。任何单位和个人不得降低抗震设防标准”。也就是说,只要建筑物通过了合法正规的验收,防震就没有问题。
怎么样?就一个简单的机房物理位置选择,想要符合标准的话,得有四项内容需要确认。
有的测评机构只要看到机房在建筑物内,就理所当然的把这个测评结果记录为“机房在xxx大楼的xx层,机房具有防震、防风和防雨等能力”。怪不得很多网络运营单位的领导都在抱怨,就做个测评,分分钟的事儿,竟然收那么高的测评费用,太不值了。
确实,测评机构的测评人员能力不足,导致客户感知差,最终的结果是等级保护测评工作被网络运营者给否了,对测评机构的印象也差了。
网友评论